Trojaner-Board - Google leitet immer auf andere Seiten um !

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Google leitet immer auf andere Seiten um ! (https://www.trojaner-board.de/71914-google-leitet-immer-andere-seiten-um.html)

Google leitet immer auf andere Seiten um !

hallo...
Mein Google leitet mich immer auf andere Seiten um, was kann ich tuen ?

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 09:58:03, on 11.04.2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Boot mode: Normal
 

Running processes:

C:\WINDOWS.0\System32\smss.exe

C:\WINDOWS.0\system32\winlogon.exe

C:\WINDOWS.0\system32\services.exe

C:\WINDOWS.0\system32\lsass.exe

C:\WINDOWS.0\system32\Ati2evxx.exe

C:\WINDOWS.0\system32\svchost.exe

C:\WINDOWS.0\System32\svchost.exe

C:\WINDOWS.0\system32\Ati2evxx.exe

C:\WINDOWS.0\system32\spoolsv.exe

C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe

C:\WINDOWS.0\system32\oodag.exe

C:\WINDOWS.0\system32\PnkBstrA.exe

C:\Programme\RapidSolution\Scramby\ScrambyServer.exe

C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe

C:\WINDOWS.0\system32\svchost.exe

C:\WINDOWS.0\System32\TUProgSt.exe

C:\Programme\S.A.D\CyberGhost VPN\CGVPNCliService.exe

C:\WINDOWS.0\system32\wbem\wmiapsrv.exe

C:\Programme\AlienGUIse\wbload.exe

C:\WINDOWS.0\Explorer.EXE

C:\Programme\TortoiseSVN\bin\TSVNCache.exe

C:\WINDOWS.0\RTHDCPL.EXE

C:\WINDOWS.0\vsnp2std.exe

C:\Programme\Java\jre6\bin\jusched.exe

C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

C:\Programme\Skype\Phone\Skype.exe

C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\Programme\ICQ6.5\ICQ.exe

C:\Programme\TRENDnet\TRENDnet TEW-421PC_TEW-423PI\WlanCU.exe

C:\Programme\AlienGUIse\AlienwareDock\ObjectDock.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\uTorrent\uTorrent.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~1\Office12\GRA8E1~1.DLL

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [snp2std] C:\WINDOWS.0\vsnp2std.exe

O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe

O4 - HKLM\..\Run: [Ashampoo Core Tuner] "C:\Programme\Ashampoo\Ashampoo Core Tuner\ct.exe" -TRAY

O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent

O4 - HKUS\S-1-5-19\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'Default user')

O4 - Startup: Alienware Dock.lnk = C:\Programme\AlienGUIse\AlienwareDock\ObjectDock.exe

O4 - Global Startup: Wireless Configuration Utility .lnk = C:\Programme\TRENDnet\TRENDnet TEW-421PC_TEW-423PI\WlanCU.exe

O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll

O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe

O10 - Unknown file in Winsock LSP: prxernsp.dll

O10 - Unknown file in Winsock LSP: prxerdrv.dll

O10 - Unknown file in Winsock LSP: prxerdrv.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{B986B95D-7666-42F0-A008-2B986E8ABE15}: NameServer = 192.168.1.2

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~1\Office12\GR99D3~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs: wbsys.dll,C:\PROGRA~1\KASPER~1\KASPER~2\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~2\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~2\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~2\kloehk.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS.0\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS.0\system32\ati2sgag.exe

O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe

O23 - Service: CyberGhost VPN Client (CGVPNCliSrvc) - mobile concepts GmbH - C:\Programme\S.A.D\CyberGhost VPN\CGVPNCliService.exe

O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - D:\Server\xampp\filezillaftp\filezillaserver.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS.0\system32\oodag.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS.0\system32\PnkBstrA.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe

O23 - Service: Scramby Server (ScrambyServer) - RapidSolution Software AG - C:\Programme\RapidSolution\Scramby\ScrambyServer.exe

O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS.0\System32\TuneUpDefragService.exe

O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS.0\System32\TUProgSt.exe

O23 - Service: XAMPP Service (XAMPP) - Unknown owner - D:\Server\xampp\service.exe
 

--

End of file - 8586 bytes

Hallo und :hallo:

Zitat:

C:\Programme\uTorrent\uTorrent.exe

Was laden wir denn da gerade runter?

Das hier habe ich auf einem anderen Board (HJT-Forum) gefunden:

Zitat:

Die hier vorgestellten Programme benötigt Windows nicht unbedingt. ;)
Bitte unter Start => Systemsteuerung => Software => Ändern/Entfernen... deinstallieren.

Selbst wenn du ein sicheres P2P Programm verwendest, ist es nur das Programm, das sicher ist. Du wirst Daten von unsicheren Quellen teilen und diese sind häufig infiziert. ;)

Also uTorrent bitte sofort deinstallieren, ansonsten sind alle weiteren Schritte eher sinnlos.

1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code:

C:\WINDOWS.0\Installer\TSClientMsiTrans\tscuinst.vbs

C:\WINDOWS.0\System32\prxernsp.dll

C:\WINDOWS.0\System32\prxerdrv.dll

Markiere jeweils eine Zeile, kopiere sie und füge sie bei Virustotal ein. Sollte die Meldung kommen, dass die Datei schon analysiert wurde, dann klicke trotzdem auf Analysieren.

2.) GMER - Rootkit Detection

Lade Trallala von file-upload.net
Klick auf Download (rechts in der Mitte) und speichere es auf den Desktop
Doppelklick auf Trallala.exe
Der Reiter Rootkit oben ist schon angewählt

http://saved.im/mzaxndu2m2ni_vs/gmerzj1oo1.jpg

Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
nach Beendigung des Scan, drücke "Copy"
nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. Materialordner hoch und poste den Link.
Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.

ciao, andreas

hallo.
Danke für die rasche Antwort. :)
VirusTotal hat nichts gefunden aber GMER sagte das da etwas währe .
Hier mein GMER log .
MfG Frahmi12

Du bist schon der zweite mit diesem fiesem Teil. Weißt du zufällig, wie du den bekommen hast? Falls es ein Download war, dann schicke mir den Link bitte als PN (Private Nachricht).

Vorab: Die Bereinigung dauert wesentlich länger als ein Neuaufsetzen. Falls es keine wichtigen Gründe gibt, die gegen ein Neuaufsetzen sprechen, dann würde ich dir das empfehlen.

Ansonsten:
Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Sollte sich ComboFix nicht starten lassen, dann benenne es um in cf.com und versuche es nocheinmal.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Das hier ist mein neuer Log.
ich hoffe ihr könnt damit etwas anfangen....
MfG Frahmi12

Code:

c:\programme\DAEMON Tools Toolbar

Die Toolbar würde ich wegmachen.

Über den Rest der Combofix logs kenne ich zu wenig. Deswegen warte lieber auf noch weitere Antworten.
DAEMON Toolbar würde ich trotzdem entfernen. :)

@DJ-D

Hallo, wir hatten nicht früher zufällig den Nick clipperd?

Halte dich raus, sonst :aufsmaul: und zwar solange, bis du lachst und dann :aufsmaul:, weil du lachst.

ciao, andreas

Nein, ich kenne den net. Ich bin Daniel Koch, kein was weiß ich... Und ja, ich halt mich ja schon raus. -.-'

Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

KILLALL::
 

Driver::

ovfsthxejyilmxsappvgpptweyfdnddxjlktba

GPU-Z
 

Registry::

[-HKLM\SYSTEM\ControlSet001\Services\ovfsthxejyilmxsappvgpptweyfdnddxjlktba]

[-HKLM\SYSTEM\ControlSet003\Services\ovfsthxejyilmxsappvgpptweyfdnddxjlktba]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"TSClientMSIUninstaller"=-

"nltide_3"=-

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

[-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8865e274-00c8-11de-9ec2-0019663d6f84}]
 

RegLockDel::

[HKEY_USERS\S-1-5-21-682003330-1637723038-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID]
 

File::

c:\windows.0\system32\drivers\ovfsthycfihtunlyohibreatqmvpmvmhfaxrsv.sys

c:\windows.0\system32\ovfsthqjuowoepfyjkrxtfoayxyscyugwmcbda.dll

c:\windows.0\system32\ovfsthiatvxeevrqkwjismqlrpmtmgnrumjbse.dat

c:\windows.0\system32\ovfsthwfoguwgwobgwsdkcjvqiegdysyyqiion.dat

c:\windows.0\system32\ovfsthrjnhviajnvstsqhykyjjhturrvjiqeph.dll

c:\windows.0\system32\ovfsthgpjmyfnkrrpxqvseltuyvjkwaebmodqx.dll

c:\windows.0\system32\ovfsthwfoguwgwobgwsdkcjvqiegdysyyqiion.dat

c:\windows.0\system32\ovfsthiatvxeevrqkwjismqlrpmtmgnrumjbse.dat
 

Folder::

C:\Programme\Mozilla Firefox\extensions\{38B32EFC-6FE7-44E0-9A27-D4B9B02739C9}
 

DirLook::

c:\windows.0\Root

c:\programme\WirelessBooster

c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Hagel Technologies

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Das ist der neue Log .
MfG Frahmi12

Jetzt sollte es deinem Rechner wieder so gut gehen, dass du mit ihm arbeiten kannst.

1.) Deinstalliere vorab:

Spybot
TuneUp Utilities

2.) Poste ein neues Gmer-Log (Trallala).

3.) Klick auf "Für alle Neuen" in meiner Signatur und arbeite die komplette Liste unter Punkt 2 ab.

ciao, andreas

Nabend .
Besten dank, es funktioniert wieder alles.
GMER hat diesmal auch nichts gefunden, und jetzt kann man auch wieder vernünftig Googeln .:dankeschoen:
MfG Frahmi12

Trotzdem brauche ich erstmal das Log von Malwarebytes und die Uninstallliste. Selbst danach bist du noch nicht entlassen. Ich sagte doch, Bereinigungen dauern immer länger als Neuinstallationen. :)

ZHPDiag von Nicolas Coolman

http://pic.leech.it/i/5e532/9b50601zhpdiag.jpg

Klicke auf Téléchargement de ZHPDiag
Klicke auf der Seite auf FTP Zebulon.fr N°1.
Entpacke die geladene Datei auf den Desktop und starte ZHPDiag.exe mit Doppelklick.
Klicke auf http://pic.leech.it/i/ced97/35b1452all.jpg All
Klicke auf http://pic.leech.it/i/0eefe/5db239elupe.jpg General Analysis
Klicke auf http://pic.leech.it/i/bf836/eced1f9dclipboard.jpg Paste Clipboard
Wechsel zum Forum, klicke auf Antworten, klicke in den großen weißen Kasten
Drücke [Strg]v, [Strg]a
Klicke auf #

ciao, andreas

Hier der GMER Log und Hier der MalwareBytes Log .

Bei MalwareBytes steht No action taken. Du musst auf Ausgewählte Entfernen klicken. Bei Gmer ist auch noch ein Rest zu sehen. :(

Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

Registry keys to delete:

HKLM\SYSTEM\ControlSet001\Services\ovfsthxejyilmxsappvgpptweyfdnddxjlktba

http://saved.im/mzi3ndg3nta0/aven.jpg

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Und das Log von ZHPDiag fehlt noch.

ciao, andreas

Guten Morgen .
Hier ist der neue Log .

Code:

Logfile of The Avenger Version 2.0, (c) by Swandog46

http://swandog46.geekstogo.com
 

Platform:  Windows XP
 

*******************
 

Script file opened successfully.

Script file read successfully.
 

Backups directory opened successfully at C:\Avenger
 

*******************
 

Beginning to process script file:
 

Rootkit scan active.

No rootkits found!
 

Registry key "HKLM\SYSTEM\ControlSet001\Services\ovfsthxejyilmxsappvgpptweyfdnddxjlktba" deleted successfully.
 

Completed script processing.
 

*******************
 

Finished!  Terminate.

Und wo ist das Log von ZHPDiag?

ciao, andreas

Okay, ich dachte ich hätte ihn im letzten Post mit rein kopiert gehabt.
Hier der Log .
MfG Frahmi12

1.) Es fehlt noch die Uninstallliste. (Für alle Neuen, Punkt 2d).

2.) utorrent sollte doch deinstalliert werden, das gilt auch für UseNext.

3.) Punkt 1-3 der Anleitung abarbeiten: http://www.trojaner-board.de/51871-a...tispyware.html

Frohe Ostern,
andreas

Das ist einmal die liste und SUPERAntiSpyware braucht noch ein wenig .

Code:

3DMark06

Adobe Flash Player 10 ActiveX

Adobe Flash Player 10 Plugin

Adobe Reader 9 - Deutsch

Adobe Shockwave Player 11

AirMAPS

AlienGUIse Theme Manager

AMD Fusion for Gaming

AMD GPU Clock Tool

Ashampoo Core Tuner 1.00

ATC for Battlefield 2 Complete

ATI - Software Uninstall Utility

ATI AVIVO Codecs

ATI Catalyst Control Center

ATI Display Driver

ATI Parental Control & Encoder

ATI Problem Report Wizard

ATITool Overclocking Utility

AutoIt v3.3.0.0

Avanquest update

CamMaestro 5.7SP build PC Camera

Catalyst Control Center - Branding

CCleaner (remove only)

Command & Conquer 3

Command & Conquer™ 3: Kanes Rache

Counter-Strike 1.6

CyberGhost VPN

DAO

DH Driver Cleaner Professional Edition

Direct Show Ogg Vorbis Filter (remove only)

DirectX Buster 2.1 Beta 4 

DirectX deinstallieren

DivX Codec

DivX Converter

DivX Player

DivX Plus DirectShow Filters

DivX Web Player

Dual-Core Optimizer

DVBViewer TE

Empire Earth

Ethereal 0.99.0

Gabelstapler Simulator 2009

Garden Defense (remove only)

Hamachi 1.0.3.0

High Definition Audio Driver Package - KB888111

HijackThis 2.0.2

Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)

Hotfix für Microsoft Visual Basic 2008 Express Edition mit SP1 - DEU (KB945282)

Hotfix für Microsoft Visual Basic 2008 Express Edition mit SP1 - DEU (KB946040)

Hotfix für Microsoft Visual Basic 2008 Express Edition mit SP1 - DEU (KB946308)

Hotfix für Microsoft Visual Basic 2008 Express Edition mit SP1 - DEU (KB946344)

Hotfix für Microsoft Visual Basic 2008 Express Edition mit SP1 - DEU (KB947540)

Hotfix für Microsoft Visual Basic 2008 Express Edition mit SP1 - DEU (KB947789)

Hotfix für Microsoft Visual Basic 2008 Express Edition mit SP1 - DEU (KB948127)

Hotfix für Microsoft Visual Basic 2008 Express Edition mit SP1 - DEU (KB951708)

Hotfix für Microsoft Visual C# 2008 Express Edition mit SP1 - DEU (KB945282)

Hotfix für Microsoft Visual C# 2008 Express Edition mit SP1 - DEU (KB946040)

Hotfix für Microsoft Visual C# 2008 Express Edition mit SP1 - DEU (KB946308)

Hotfix für Microsoft Visual C# 2008 Express Edition mit SP1 - DEU (KB947540)

Hotfix für Microsoft Visual C# 2008 Express Edition mit SP1 - DEU (KB947789)

Hotfix für Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU (KB945282)

Hotfix für Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU (KB946040)

Hotfix für Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU (KB946308)

Hotfix für Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU (KB947540)

Hotfix für Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU (KB947789)

Hotfix für Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU (KB948127)

Hotfix für Windows XP (KB924441)

Hotfix für Windows XP (KB942288-v3)

Java(TM) 6 Update 12

Kaspersky Internet Security 2009

Kaspersky Internet Security 2009

Landwirtschafts-Simulator 2009

Little Fighter 2 version 2.0

Malwarebytes' Anti-Malware

Microsoft .NET Framework 1.1

Microsoft .NET Framework 2.0 Service Pack 2

Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU

Microsoft .NET Framework 3.0 Service Pack 2

Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU

Microsoft .NET Framework 3.5 Language Pack SP1 - deu

Microsoft .NET Framework 3.5 Language Pack SP1 - DEU

Microsoft .NET Framework 3.5 SP1

Microsoft .NET Framework 3.5 SP1

Microsoft Games for Windows - LIVE 

Microsoft Games for Windows - LIVE Redistributable

Microsoft Office Access MUI (German) 2007

Microsoft Office Enterprise 2007

Microsoft Office Enterprise 2007

Microsoft Office Excel MUI (German) 2007

Microsoft Office Groove MUI (German) 2007

Microsoft Office InfoPath MUI (German) 2007

Microsoft Office OneNote MUI (German) 2007

Microsoft Office Outlook MUI (German) 2007

Microsoft Office PowerPoint MUI (German) 2007

Microsoft Office Proof (English) 2007

Microsoft Office Proof (French) 2007

Microsoft Office Proof (German) 2007

Microsoft Office Proof (Italian) 2007

Microsoft Office Proofing (German) 2007

Microsoft Office Publisher MUI (German) 2007

Microsoft Office Shared MUI (German) 2007

Microsoft Office Word MUI (German) 2007

Microsoft Silverlight

Microsoft SQL Server 2008

Microsoft SQL Server 2008

Microsoft SQL Server 2008 Common Files

Microsoft SQL Server 2008 Common Files

Microsoft SQL Server 2008 Database Engine Services

Microsoft SQL Server 2008 Database Engine Services

Microsoft SQL Server 2008 Database Engine Shared

Microsoft SQL Server 2008 Database Engine Shared

Microsoft SQL Server 2008 Management Objects

Microsoft SQL Server 2008 Native Client

Microsoft SQL Server 2008 RsFx Driver

Microsoft SQL Server 2008 Setup Support Files (English)

Microsoft SQL Server 2008-Browser

Microsoft SQL Server Compact 3.5 SP1 (Deutsch)

Microsoft SQL Server Compact 3.5 SP1 Design Tools (Deutsch)

Microsoft SQL Server VSS Writer

Microsoft Virtual PC 2007 SP1

Microsoft Visual Basic 2008 Express Edition mit SP1 - DEU

Microsoft Visual Basic 2008 Express Edition with SP1 - DEU

Microsoft Visual Basic 6.0 Professional Edition (Deutsch)

Microsoft Visual C# 2008 Express Edition mit SP1 - DEU

Microsoft Visual C# 2008 Express Edition with SP1 - DEU

Microsoft Visual C++ 2005 Redistributable

Microsoft Visual C++ 2005 Redistributable

Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU

Microsoft Visual C++ 2008 Express Edition with SP1 - DEU

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729

Microsoft Web Publishing Wizard 1.53

Microsoft Windows SDK for Visual Studio 2008 Headers and Libraries

Microsoft Windows SDK for Visual Studio 2008 SP1 Express Tools for .NET Framework - deu

Microsoft Windows SDK for Visual Studio 2008 SP1 Express Tools for Win32

Microsoft XNA Framework Redistributable 3.0

Microsoft XNA Game Studio 3.0

Microsoft XNA Game Studio 3.0 (ARP entry)

Microsoft XNA Game Studio 3.0 (Platformer)

Microsoft XNA Game Studio 3.0 (Redists)

Microsoft XNA Game Studio 3.0 (Shared Components)

Microsoft XNA Game Studio 3.0 (VCSExpress)

Microsoft XNA Game Studio 3.0 (XnaLiveProxy)

Microsoft XNA Game Studio 3.0 Documentation

Microsoft XNA Game Studio Platform Tools

Mozilla Firefox (3.0.8)

MSXML 6.0 Parser (KB933579)

Nero 9

neroxml

Network Stumbler 0.4.0 (remove only)

No-IP.com DUC (remove only)

Nokia Connectivity Cable Driver

Nokia Flashing Cable Driver

NTREGOPT 1.1j

NVIDIA PhysX

O&O Defrag Professional

Prison Tycoon 3

Privoxy 3.0.6

ProgDVB

Proxifier version 2.0

Ray Adams ATI Tray Tools

Realtek High Definition Audio Driver

REALTEK PCIE NIC Driver

RivaTuner v2.22

Scramby

Sinus 1054 data

Skype™ 4.0

Sonic CinePlayer DVD Pack

Sony Ericsson PC Suite 4.010.00

Sprengmeister 1.3.11

Sql Server Customer Experience Improvement Program

SQL Server System CLR Types

Star Wars Battlefront II

TeamSpeak 2 RC2

TechniSat DVB-PC TV Star

Test Drive Unlimited

Thoosje Vista Sidebar

TitanTV Client components for ATI

Tor 0.2.0.34

TortoiseSVN 1.5.8.15348 (32 bit)

TRENDnet TEW-421PC/TEW-423PI 802.11g Wireless Cardbus/PCI Adapter Driver and Utility

Update für Windows XP (KB896256)

VC80CRTRedist - 8.0.50727.762

Vidalia 0.1.10

Vista Codec Package

WarRock

WIDCOMM Bluetooth Software

Winamp

Winamp Remote

Windows Imaging Component

Windows Media Encoder 9 Series

Windows Media Encoder 9 Series

Windows Media Format 11 runtime

Windows Vista Upgrade Advisor

Windows-Treiberpaket - Advanced Micro Devices (AmdK8) Processor  (05/27/2006 1.3.2.0)

WinPcap 3.1

WinRAR

WISO Bewerbung 2008

Xbox 360 Controller for Windows

Xfire (remove only)

XML Paper Specification Shared Components Language Pack 1.0

xp-AntiSpy 3.97

Xtreme-G 9.2 XP32

Yahoo! Toolbar

Frohe Ostern,
MfG Frahmi12

Das ist der SUPERAntiSpyware Log von der "Festplatte C" (Windows)
Und der Log von "D" folgt noch weil der ein paar Stunden braucht.

Code:

SUPERAntiSpyware Scan Log

http://www.superantispyware.com
 

Generated 04/13/2009 at 11:19 AM
 

Application Version : 4.26.1000
 

Core Rules Database Version : 3839

Trace Rules Database Version: 1795
 

Scan type       : Complete Scan

Total Scan Time : 00:58:52
 

Memory items scanned      : 648

Memory threats detected   : 0

Registry items scanned    : 6744

Registry threats detected : 0

File items scanned        : 97516

File threats detected     : 46
 

Adware.Tracking Cookie

        C:\Dokumente und Einstellungen\Marwin.MARWIN-D3203617\Cookies\marwin@ad.yieldmanager[1].txt

        C:\Dokumente und Einstellungen\Marwin.MARWIN-D3203617\Cookies\marwin@server.cpmstar[2].txt

        C:\Dokumente und Einstellungen\Marwin.MARWIN-D3203617\Cookies\marwin@serving-sys[2].txt

        C:\Dokumente und Einstellungen\Marwin.MARWIN-D3203617\Cookies\marwin@adfarm1.adition[1].txt

        C:\Dokumente und Einstellungen\Marwin.MARWIN-D3203617\Cookies\marwin@adserver.71i[2].txt

        C:\Dokumente und Einstellungen\Marwin.MARWIN-D3203617\Cookies\marwin@bs.serving-sys[1].txt

        C:\Dokumente und Einstellungen\Marwin.MARWIN-D3203617\Cookies\marwin@zanox[1].txt

        C:\Dokumente und Einstellungen\Marwin.MARWIN-D3203617\Cookies\marwin@www.etracker[2].txt

        C:\Dokumente und Einstellungen\Marwin.MARWIN-D3203617\Cookies\marwin@ad.zanox[1].txt

        C:\Dokumente und Einstellungen\Marwin.MARWIN-D3203617\Cookies\marwin@zbox.zanox[2].txt

        C:\Dokumente und Einstellungen\Marwin.MARWIN-D3203617\Cookies\marwin@zanox-affiliate[1].txt

        C:\Dokumente und Einstellungen\Marwin.MARWIN-D3203617\Cookies\marwin@ad.71i[1].txt

        C:\Dokumente und Einstellungen\Marwin.MARWIN-D3203617\Cookies\marwin@atwola[2].txt

        C:\Dokumente und Einstellungen\Marwin.MARWIN-D3203617\Cookies\marwin@msnportal.112.2o7[1].txt

        C:\Dokumente und Einstellungen\Marwin.MARWIN-D3203617\Cookies\marwin@adbrite[2].txt

        C:\Dokumente und Einstellungen\Marwin.MARWIN-D3203617\Cookies\marwin@atdmt[2].txt

        C:\Dokumente und Einstellungen\Marwin.MARWIN-D3203617\Cookies\marwin@adserver.71i[1].txt

        C:\Dokumente und Einstellungen\Marwin.MARWIN-D3203617\Cookies\marwin@atwola[1].txt

        C:\Dokumente und Einstellungen\Marwin.MARWIN-D3203617\Cookies\marwin@mediaplex[2].txt

        C:\Dokumente und Einstellungen\ZZZZZZ\Cookies\marwin@ad.71i[1].txt

        C:\Dokumente und Einstellungen\ZZZZZZ\Cookies\marwin@ad.zanox[1].txt

        C:\Dokumente und Einstellungen\ZZZZZZ\Cookies\marwin@adbureau[1].txt

        C:\Dokumente und Einstellungen\ZZZZZZ\Cookies\marwin@adserver.71i[1].txt

        C:\Dokumente und Einstellungen\ZZZZZZ\Cookies\marwin@adtech[1].txt

        C:\Dokumente und Einstellungen\ZZZZZZ\Cookies\marwin@advertising[1].txt

        C:\Dokumente und Einstellungen\ZZZZZZ\Cookies\marwin@apmebf[1].txt

        C:\Dokumente und Einstellungen\ZZZZZZ\Cookies\marwin@at.atwola[2].txt

        C:\Dokumente und Einstellungen\ZZZZZZ\Cookies\marwin@atdmt[2].txt

        C:\Dokumente und Einstellungen\ZZZZZZ\Cookies\marwin@atwola[2].txt

        C:\Dokumente und Einstellungen\ZZZZZZ\Cookies\marwin@banner.nonstoppartner[1].txt

        C:\Dokumente und Einstellungen\ZZZZZZ\Cookies\marwin@bluestreak[1].txt

        C:\Dokumente und Einstellungen\ZZZZZZ\Cookies\marwin@bs.serving-sys[1].txt

        C:\Dokumente und Einstellungen\ZZZZZZ\Cookies\marwin@cgm.adbureau[2].txt

        C:\Dokumente und Einstellungen\ZZZZZZ\Cookies\marwin@de2.komtrack[2].txt

        C:\Dokumente und Einstellungen\ZZZZZZ\Cookies\marwin@doubleclick[2].txt

        C:\Dokumente und Einstellungen\ZZZZZZ\Cookies\marwin@fastclick[2].txt

        C:\Dokumente und Einstellungen\ZZZZZZ\Cookies\marwin@msnportal.112.2o7[1].txt

        C:\Dokumente und Einstellungen\ZZZZZZ\Cookies\marwin@serving-sys[1].txt

        C:\Dokumente und Einstellungen\ZZZZZZ\Cookies\marwin@sevenoneintermedia.112.2o7[1].txt

        C:\Dokumente und Einstellungen\ZZZZZZ\Cookies\marwin@tacoda[1].txt

        C:\Dokumente und Einstellungen\ZZZZZZ\Cookies\marwin@tradedoubler[2].txt

        C:\Dokumente und Einstellungen\ZZZZZZ\Cookies\marwin@www.zanox-affiliate[1].txt

        C:\Dokumente und Einstellungen\ZZZZZZ\Cookies\marwin@zbox.zanox[2].txt
 

Trojan.SVCHost/Fake

        C:\DOKUMENTE UND EINSTELLUNGEN\MARWIN.MARWIN-D3203617\ANWENDUNGSDATEN\THINSTALL\PREMIUMSOFT NAVICAT 8.0 FOR MYSQL\1000000600002I\SVCHOST.EXE
 

Trojan.VXGame-Variant/D

        C:\DOKUMENTE UND EINSTELLUNGEN\ZZZZZZ\EIGENE DATEIEN\DOWNLOADS\ADOBE.PHOTOSHOP.CS4.EXTENDED.V11.0.GERMAN.INCL.KEYMAKER-CORE\KEYGEN.EXE
 

Trojan.Agent/Gen-TempZ

        C:\SYSTEM VOLUME INFORMATION\_RESTORE{C7B8CAA9-DEEF-4033-9684-3C0995D45166}\RP202\A0237487.EXE

MfG Frahmi12

Benutzer "ZZZZZZ" , begreife ich nicht.
Ich habe keinen Zugriff auf die Dateien, gibt es ne Möglichkeit den Ordner zu löschen ?
Kann das sein das jem. fremdes sich hier über das Internet eingeloggt hat und sich einen Account erstellt hat ?
Anders kann ich mir nicht erklären warum ich hier einen Benutzer "ZZZZZZ" habe der irgend nen Viren/Trojaner misst auf meiner Festplatte lagert.
Hätte mich Kaspersky IS nicht warnen sollen ?
MfG Frahmi12